Recommandations de l'OFCS
Recommandations de l'OFCS pour améliorer la sécurité de l'information
Quelques acteurs tendent de plus en plus à renoncer au chiffrement des données et à passer au simple vol de données avec extorsion. Des mesures bien pensées peuvent réduire les dommages, telles que la sensibilisation et la formation des utilisateurs selon des directives internes ou encore une culture positive de l'erreur qui permet d'optimiser les processus internes en collaboration avec le personnel avant qu'une fuite de données se produise.
Gestion adéquate des données
Rèqle qénérale: classer les données par catégorie en fonction de leur sensibilité et les protéger en tenant compte de ces catégories. Dans la mesure du possible, les données devraient être chiffrées lors de leur enregistrement.
Rèqles de conservation: définir qui stocke quelles données, où et sous quelle forme, ainsi que les personnes avec qui les données sont partagées. Conserver uniquement les données nécessaires à l'exploitation de l'entreprise. Examiner périodiquement si les données qui sont obsolètes ou ne sont plus activement nécessaires ont été effacées. Un archivage numérique hors ligne des données peut aussi entrer en ligne de compte.
Mesures statistiques
Jeux de données: anonymiser ou pseudonymiser les données statistiques provenant, par exemple, d'enquêtes ou celles à des fins de test. Une conservation séparée des identificateurs sous forme chiffrée est également judicieuse. Les données brutes doivent, dans l'idéal, être conservées dans une sauvegarde hors ligne.
Mesures techniques et cyberhygiène
Gestion des mots de passe: introduire des directives sur les mots de passe et une authentification à plusieurs facteurs.
Respecter le principe du moindre privilèqe.
Mettre en œuvre la seqmentation du réseau.
Gestion des correctifs: lors de la divulgation d'une faille, implémenter les correctifs nécessaires aussi rapidement que possible et tenir compte des cycles de vie des produits.
Mesures organisationnelles
Elaborer et tester un plan d'urqence pour la maîtrise des incidents, tout en fixant clairement les responsabilités.
En cas de fuite de données, implémenter le plus rapidement possible des mesures d'urgence techniques et, éventuellement, faire appel à des spécialistes externes. Une communication interne et externe transparente et cohérente s'impose. Idéalement, élaborer une stratéqie de communication au préalable.
Examiner également dans quelle mesure il est nécessaire d'informer en temps utile les personnes et les organisations concernées par la fuite de données. Les cas de violation de la protection des données doivent être annoncés dans les meilleurs délais au PPDT.